¿Cómo puedo saber si un usuario está accediendo al sitio web con una IP falsificada?

1

hay un nombre de usuario (USERX). Es un usuario suspendido. Aparece en mis archivos de inicio de sesión de usuario. Siempre aparece en medio de un intento de otro usuario (USERA) para restablecer su contraseña y CON LA IP de USERA.

No hay código en ninguna parte con la frase del nombre de usuario de USERX. USERA siempre informa que no vio nada en su pantalla que tenga que ver con USERX.

¿Entonces este USUARIO es un pirata informático que falsifica su IP? Si es así, ¿sabrían la dirección IP de Spoof? ¿Están escuchando en algún lugar? O hay alguna otra explicación para este nombre de usuario impar que aparece? ¿Cómo puedo probar este tipo de cosas?

Mis archivos de registro tendrán este aspecto: (filtrando solo esta IP)

03/29/2015 01:21 PM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 11:48 AM USERA               USERA_IP_ADDRESS    login process started   /login.php
03/29/2015 11:48 AM USERA               USERA_IP_ADDRESS    failure     /login.php
03/29/2015 11:48 AM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 11:48 AM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 11:49 AM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 11:49 AM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 11:49 AM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 01:19 PM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 01:20 PM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 01:21 PM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 01:22 PM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 01:22 PM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 04:33 PM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 04:33 PM user log opening    USERA_IP_ADDRESS                /getpassword.php
03/29/2015 04:34 PM user log opening    USERA_IP_ADDRESS                /login.php
03/29/2015 04:34 PM USERA           USERA_IP_ADDRESS    login process started   /login.php
03/29/2015 04:34 PM USERA           USERA_IP_ADDRESS    success         /login.php
03/29/2015 01:22 PM USERX           USERA_IP_ADDRESS    success-suspended   /getpassword.php
    
pregunta danjfoley 30.03.2015 - 03:15
fuente

1 respuesta

1

En primer lugar, no puede falsificar su IP en una conexión TCP. Las IPs falsificadas son solo de difusión.

En cuanto a poder saber si un usuario está retransmitiendo o dirigiendo su tráfico desde otra computadora, algunas señales reveladoras pueden incluir:

Aunque a menudo no importa. Si es un solo atacante o varios atacantes que exhiben el mismo comportamiento, ¿hay alguna diferencia? Si un solo atacante inicia sesión desde varias computadoras en múltiples ubicaciones, ¿es eso funcionalmente diferente a la transmisión de su tráfico a través de servidores proxy?

Considere toda actividad sospechosa por sus propios méritos. Si parece que alguien está haciendo algo que no debería, entonces lo mejor es tomar medidas para proteger contra ese comportamiento , no proteger contra esa persona . Si un sistema está bajo ataque, asegure el sistema; modifícalo para que el atacante no pueda tener éxito.

    
respondido por el tylerl 30.03.2015 - 06:28
fuente

Lea otras preguntas en las etiquetas